Hayatta tahammül edemediğim iki şey var: yavaşlık ve aptallık.

Telefon

Telefon yazarsak susmaz 🙃

E-Posta

serkan.osna@gmail.com

Adres

Eskişehir

Social

Adli Bilişim

RAM Analizi ile Dijital Delil Elde Etme

RAM Analizi ile Dijital Delil Elde Etme

RAM İçeriğinin Hukuki Bağlamda Analizi: Dijital İzlerin Adli İncelemesi

Günümüz dijital dünyasında, geçici bellek olarak bilinen RAM (Random Access Memory), suçların çözümünde kritik bir öneme sahiptir. RAM içeriği, bir sistemde anlık çalışan programlar ve işlemler hakkında canlı veriler barındırır ve bu veriler adli bilişim uzmanlarına, suçluların dijital izlerini ortaya çıkarma olanağı sağlar. Özellikle siber suçlar, hacker saldırıları ve veri ihlalleri gibi olaylarda RAM analizi, kalıcı disk verilerinden farklı, anlık ve geçici delil sunması nedeniyle önem kazanmaktadır. Ancak RAM'den elde edilen dijital verilerin hukuki bağlamda kabulü ve değerlendirilmesi karmaşık süreçler içermektedir ve bu süreçlerde dikkat edilmesi gereken etik ve teknik faktörler bulunmaktadır.

RAM içeriğinin adli incelemede kullanılması için öncelikle elde edilen verilerin hukuka uygun yöntemlerle toplanması gerekir. Avrupa Adli Bilişim Derneği (EAFS) gibi önde gelen kurumlar, RAM analizinde izlenmesi gereken prosedürleri standartlaştırmaya çalışmaktadır. Elde edilen verilerin zincirleme delil olarak sunulabilmesi için müdahale edilmeden, anlık olarak ve forensik araçlarla alınması zorunludur. Ayrıca, Türkiye’de de Yargıtay kararlarında RAM'den elde edilen dijital delillerin, usulüne uygun olarak toplandığında delil niteliği taşıdığı vurgulanmaktadır. Burada önemli olan, RAM içeriğinin kolayca değiştirilebilir doğası nedeniyle delil bütünlüğü ve doğruluğunun sağlamasıdır.

RAM'de bulunan veriler; şifreler, açık oturum bilgileri, çalışan süreçler ve ağ bağlantıları gibi kritik bilgileri içerir. Bu bilgiler, olay anındaki kullanıcı aktivitelerini ve potansiyel izinsiz girişleri tespit etmek için altın değerindedir. Carnegie Mellon Üniversitesi'nin Dijital Adli Bilimler Merkezi tarafından geliştirilen Volatility Framework gibi açık kaynaklı araçlar, RAM'de hızlı ve detaylı analiz yapılmasını sağlamaktadır. RAM analizinde başarılı olmak için uzmanların, hem teknik bilgiye hem de hukuki süreçlere hakim olması gerekmektedir. Aşağıda RAM analizinde dikkat edilmesi gereken temel bileşenler sıralanmıştır:

  • Delil Bütünlüğünün Korunması: RAM’in anlık yapısı nedeniyle verilerin değiştirilmeden alınması.
  • Adli Uyumlu Araç Kullanımı: Bilimsel olarak kabul görmüş analiz ve görüntü alma araçları tercih edilmesi.
  • Görev Tanımları ve Yetki: Verinin toplanması sırasında hukuki izinlerin alınması ve müdahale yetkisinin belgelenmesi.
  • Analiz ve Yorumlama: Teknik verinin hukuki bağlamda anlaşılır ve geçerli raporlar hâline getirilmesi.

Anlık Bellek Görüntülerinden Kanıt Elde Etme Teknikleri ve Yasal Geçerliliği

Anlık bellek görüntüleri, dijital adli bilişimde giderek artan öneme sahip bir delil kaynağıdır. Bu görüntüler, bir bilgisayarın veya mobil cihazın geçici belleğinde yer alan ve sistem kapatıldığında kaybolan verilerin anlık kaydını sağlar. RAM'den doğrudan alınan bu veriler, kullanıcı faaliyetlerinin tam zamanlı yansımalarını içerdiği için, özellikle siber suç araştırmalarında kapsamlı deliller sunar. Ancak bu tür kanıtların hukuki açıdan geçerliliğinin sağlanması, teknik uzmanlık kadar yasal usul ve prosedürlerin eksiksiz uygulanmasına bağlıdır.

Yüksek mahkemeler ve adli bilişim kurumları, RAM analizine yönelik standartlaştırılmış protokoller üzerinde çalışmalar yürütmektedir. Örneğin, National Institute of Standards and Technology (NIST) tarafından yayımlanan kılavuzlar, anlık bellek verilerinin toplanması ve işlenmesine yönelik önemli normlar getirir. Bu kılavuzlarda, veri bütünlüğünün korunması, zamansal hassasiyet ve belgenin içeriğiyle oynanmadığının kanıtlanması gibi temel prensipler vurgulanmaktadır.

RAM içeriğinin elde edilmesinde kullanılan teknikler, genellikle canlı sistem analizinin ayrılmaz bir parçasıdır. Bu bağlamda, volatile memory capture olarak adlandırılan yöntemler en çok tercih edilen tekniklerdir. Bu süreçte, sistem üzerinde çalışan diğer uygulamalar ve işlemci durumu etkilenmeden, hızlı ve etkili veri çekme mekanizmaları uygulanır. Hafıza kopyasının alınması sırasında, zaman damgaları ve hash değerleri oluşturularak, verinin özgünlüğü ve değişmezliği belgelenir.

Öte yandan, teknik ekiplerin ellerindeki araçları doğru ve kanıt kabul edilen yöntemlerle kullandıklarını gösterebilmeleri için, alanında uzmanlaşmış adli bilişim yazılımlarına başvurulur. Volatility Framework gibi açık kaynaklı projeler, bellek dökümlerini analiz etme becerisiyle ön plandadır. Ancak, bu araçların hukuki standartlara uygun biçimde entegre edilmesi, delilin mahkeme önünde kabul görmesi için kritik bir gerekliliktir.

Dijital delil olarak RAM verilerinin tanınması, pek çok ülkede yargı kararlarıyla şekillenmekte ve giderek sağlam bir hukuk temeline oturmaktadır. Türkiye’de Yargıtay’ın son kararları, RAM’den elde edilen verilerin usulüne uygun şekilde toplandığında ve delil zinciri korunarak sunulduğunda mahkemeler tarafından kabul edildiğini ifade etmektedir. Burada kritik olan, veri toplama sürecinin şeffaflığı ve hukuki izinlerin eksiksiz alınmasıdır.

Avrupa Birliği Adalet Komisyonu’nun dijital delil regülasyonları da anlık bellek analizi yapılan dosyalarda delil zincirinin korunmasını vurgular. Bu bağlamda, IMSI catcher gibi teknoloji araçlarıyla beraber RAM’in rutin olmayan şekilde incelenmesi, ihlallerin önüne geçilmesi için sıkı denetim altındadır. Adli bilişim uzmanlarının teknik bilgi kadar, hukuki bilgi ve metodolojiye sahip olması, bu alanın en büyük gerekliliklerinden biridir.

#RAM analizi #adli bilişim #dijital delil #anlık bellek görüntüleri #dijital delil yöntemleri
4 dk okuma süresi
5 ay önce
Serkan ÖSNA
Paylaş